2011年七月,处理了一起服务器入侵事件,这起事件可以说是非常普通的入侵案件,每年都会处理很多起,也没有什么技术含量,只是这起案件带来了一些对安全的思考。因为前几天写的一个案例被杨泉老师说要作为案例在讲课时候进行介绍,为了给以后的各位老师们提供素材,所以准备逐步把自己做这么多年安全中遇到过的案例逐步写出了,给各位CISP老师和其他信息安全培训讲师做参考。 事件起因非常简单:管理员发现一台服务器被入侵,但是不知道如何被入侵的,正好此单位信息化领导是朋友,请我去帮忙看看。简单了解了一下情况,服务器前有 防火墙,只开放了80、3389端口,服务器补丁打全了。按照老习惯怀疑可能SQL注入,但是看web日志前,习惯性的先简单看了看服务器日志,发现服务 器安全日志中存在多个互联网IP地址从远程终端登录的记录,甚至有在夜间的。于是问了一下管理员和开发商人员,在记录的时间段内是否进行过登录,回答均没 有在那个时间登录过,初步判断可能是密码被猜出来,攻击者直接从终端服务进行了远程登录,登录到系统上进行了操作。
问管理员密码情况如何,管理员说我们密码安全性应该比较好,有字母、有特殊字符,而且12位长,问之什么密码,答约:zaq12wsxZAQ!@WSX。 大家看起来应该比较复杂,仔细看一下你的计算机键盘,其实就是最左边的一排键,从下按到上,兜一圈按下来,然后按着shift键再重按一次。自认为聪明的 管理员啊,这种密码的设置方式,攻击者都知道了,不再是安全的密码了,案例非常简单,似乎没有什么参考价值,其实其中牵涉到了密码设置的问题。
账号密码设置是信息安全中最基本的安全措施,尽管非常简单,但是任然有大量的安全事件与密码有关,如何设置一个好的密码,其实是一门学问。很多安全资料。 都提到设置密码,提到的都是多少位长度、大写字母、小写字母、数字都有,但上面案例中管理员设置的密码似乎都符合以上要求,长度够、复杂度够。但仍然不是 安全的密码。因为这种密码对于纯粹穷举的暴力破解是很好的,但是对结合了社会工程学的口令破解方式,这种密码就属于安全性不足的密码了。 好的密码应该包含两个特点:自己很好记、别人不好猜。 案例中的管理员设置的密码符合了第一条,没有符合第二条,所谓不好猜应该指的是不好推理出来,使用电话号码、生日作为密码的就明显不符合不好推理的情况, 攻击者可以通过收集目标信息从而推理出来,还有就是必须无规律,案例中的管理员就是使用了规律的密码,构成密码的字符在键盘上是顺序排列的,也就意味着有 规律可循、可以推理出来,因此不是好密码。
还有些管理员设置了很复杂的口令,的确无规律,不可推理,能有效的应对攻击者的口令破解,但是大多很难记忆,不符合第一条要求。由于不好记忆,于是管理员 会将口令保存在excel表中、存放在自己的个人电脑中,或者记在笔记本里面,这也为口令的保管带来了另外的安全威胁(这种做法的风险下次通过另外一个案 例进行介绍)。但如果仅仅把密码记忆在脑中,又存在由于时间长而忘记口令的情况(我每年大约也处理2~3次因为口令过于复杂,忘记口令无法进入系统,最后 只能破解进入系统的情况)。
如何设置一个好的口令的例子:记忆一句话,例如,我的生日是10月28日,由此生成密码,取拼音的第一个字母:wdsrs10y28r,再做略微变形,如在最后加个感叹号,第一个字母大写等,最后密码为:Wdsrs10y28r! 密码具有足够的安全性,并且也不容易忘记,只要你记住这句话,甚至你将这句话记在笔记本上也比你直接记密码好。 另外,推荐采取密码信封的方式,在系统上设置一个非常复杂的用户名和口令,无需记忆,将它写在一张纸,封在信封中,保存在安全的地方,例如保险柜中,当系统发生问题时,或者紧急情况下,由相关人员授权开启信封,获得进入系统的权限。
总之:密码是信息系统的安全的根本,设置一个好的密码能解决很多安全问题,请不要轻视密码的设置,牢记好的密码两个特点,自己很好记、别人不好猜,两者缺 一不可。非常的期望今后再有人找我处理被入侵的服务器,不要再是密码这种简单的原因所导致的。安全,业务并不复杂,从设置好你的密码开始。
问管理员密码情况如何,管理员说我们密码安全性应该比较好,有字母、有特殊字符,而且12位长,问之什么密码,答约:zaq12wsxZAQ!@WSX。 大家看起来应该比较复杂,仔细看一下你的计算机键盘,其实就是最左边的一排键,从下按到上,兜一圈按下来,然后按着shift键再重按一次。自认为聪明的 管理员啊,这种密码的设置方式,攻击者都知道了,不再是安全的密码了,案例非常简单,似乎没有什么参考价值,其实其中牵涉到了密码设置的问题。
账号密码设置是信息安全中最基本的安全措施,尽管非常简单,但是任然有大量的安全事件与密码有关,如何设置一个好的密码,其实是一门学问。很多安全资料。 都提到设置密码,提到的都是多少位长度、大写字母、小写字母、数字都有,但上面案例中管理员设置的密码似乎都符合以上要求,长度够、复杂度够。但仍然不是 安全的密码。因为这种密码对于纯粹穷举的暴力破解是很好的,但是对结合了社会工程学的口令破解方式,这种密码就属于安全性不足的密码了。 好的密码应该包含两个特点:自己很好记、别人不好猜。 案例中的管理员设置的密码符合了第一条,没有符合第二条,所谓不好猜应该指的是不好推理出来,使用电话号码、生日作为密码的就明显不符合不好推理的情况, 攻击者可以通过收集目标信息从而推理出来,还有就是必须无规律,案例中的管理员就是使用了规律的密码,构成密码的字符在键盘上是顺序排列的,也就意味着有 规律可循、可以推理出来,因此不是好密码。
还有些管理员设置了很复杂的口令,的确无规律,不可推理,能有效的应对攻击者的口令破解,但是大多很难记忆,不符合第一条要求。由于不好记忆,于是管理员 会将口令保存在excel表中、存放在自己的个人电脑中,或者记在笔记本里面,这也为口令的保管带来了另外的安全威胁(这种做法的风险下次通过另外一个案 例进行介绍)。但如果仅仅把密码记忆在脑中,又存在由于时间长而忘记口令的情况(我每年大约也处理2~3次因为口令过于复杂,忘记口令无法进入系统,最后 只能破解进入系统的情况)。
如何设置一个好的口令的例子:记忆一句话,例如,我的生日是10月28日,由此生成密码,取拼音的第一个字母:wdsrs10y28r,再做略微变形,如在最后加个感叹号,第一个字母大写等,最后密码为:Wdsrs10y28r! 密码具有足够的安全性,并且也不容易忘记,只要你记住这句话,甚至你将这句话记在笔记本上也比你直接记密码好。 另外,推荐采取密码信封的方式,在系统上设置一个非常复杂的用户名和口令,无需记忆,将它写在一张纸,封在信封中,保存在安全的地方,例如保险柜中,当系统发生问题时,或者紧急情况下,由相关人员授权开启信封,获得进入系统的权限。
总之:密码是信息系统的安全的根本,设置一个好的密码能解决很多安全问题,请不要轻视密码的设置,牢记好的密码两个特点,自己很好记、别人不好猜,两者缺 一不可。非常的期望今后再有人找我处理被入侵的服务器,不要再是密码这种简单的原因所导致的。安全,业务并不复杂,从设置好你的密码开始。